Re: Dynamische IP (DynDns - Namen) mit Iptables freigeben
Das fängt damit an, daß Du nur nach außen anbietest, was Du in diese Richtung auch nur benötigst. Wenn Du also von außen nur ssh machen willst, dann bindest Du nur ssh auf das Interface und den Rest schaltest Du ab oder erlaubst es nur intern. Nicht belegte Ports kann man halt nicht angreifen. Das stimmt. D.h ja mindestens auch das ich immer alle Security-Updates eingespielt haben sollte - und der Admin damit nahezu perfekt arbeitet. Daß Du die Software aktuell halten mußt, die Du nach außen anbietest, ist wohl selbstverständlich. Ob Du nun ein ssh oder sonstwas mit Schwachstellen mit oder ohne Firewall nach außen freigibst oder nicht, macht absolut keinen Unterschied. In dem Moment, in dem ein Dienst, den Du nach außen offen hast, Sicherheitslücken hat, hilft Dir auch keine Firewall mehr. Richtig, ich meinte ja auch nur wenn ich - doch mal einen Dienst vergesse... oder ein Programm (ungewollt) auf einem Port anfängt zu arbeiten, dann hätte ich mit einer restriktiven Firewall möglicherweise keine bzw. weniger Probleme. Ich denke die Behauptung trifft wenn überhaupt nur auf den Privat-Anwender zu. Im Server-Bereich von Firmen ist das einfach falsch. Nein. Aber Firmennetze laufen meist unter anderen Prämissen und Anforderungen und Firewalls können da dann durchaus sinnvoll sein. Zum Beispiel taucht da ja auch die Frage auf, wie man die eigenen Mitarbeiter drin behält und auf's Gleis des Gesamtkonzeptes zwingt. Verstehe ich jetzt nicht? Stimmst Du mir nun zu odr nicht? Ein Webserver der einige tausend Anfragen die Minute hat, sollte schon hinter einer Firewall in einer DMZ stehen denke ich. Alles andere wäre unprofessional und würde über kurz oder lang schief gehen. Das ist zu oberflächlich. Zunächst einmal ist eine Firewall ein Sicherheitskonzept und ob und wie man dann konkret Packetfilter, usw. einsetzt, das steht wiederum auf einem ganz anderen Blatt. Richtig. War nur ein (an den Haaren herbeigezogenes) Beispiel. Ich kann einfach nicht, ein wenn auch sauber konfiguriertes Firmennetzwerk, OHNE Firewall nach aussen offen lassen... Oder? Kommt u.a. auf die Topologie des Netzes und die dort verwendeten Installationen an. Pauschal kann man sowas einfach nicht beantworten, genauso wie eine Firewallsoftware nicht pauschal irgendeinen Sicherheitsgewinn bringt oder auch nur pauschal Sinn macht. Genau. Sicherlich hängts von der Topologie ab - dementsprechend entwickelt man dann ein Konzept. Die typische Windowsdenke Ich habe eine personal Firewall und mein Rechner ist jetzt vor dem bösen Internet geschützt ist jedenfalls bestenfalls unbedarft und nicht selten ein gefährlicher Trugschluß. leider ja... http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html kenn ich schon :o) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Dynamische IP (DynDns - Namen) mit Iptables freigeben
Ich hab das jetzt noch nicht probiert, aber dass gdipc Script von dyndsl.com könnte man sicher so bearbeiten, dass es die erhaltene IP in eine globale Variable verfrachtet und diese dann über das IPTABLES script ausliest. iptables -t filter -A INPUT -p TCP -s $DYNIP --dport 22 -j ACCEPT odere so ähnlich soltle dann klappen. Gruß, Frank. -- [...]although the authors did add some new | Frank Brodbeck excrement results. | [EMAIL PROTECTED] MS Outlooked corrected a experiment typo | GPG KEY: 24A017C0 into _excrement_ seen on Risks Digest| HAND pgp0.pgp Description: PGP signature
Re: Dynamische IP (DynDns - Namen) mit Iptables freigeben
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 | iptables -I 1 -i $INTERFACE -p tcp --sport 1024:65535 --dport 22 -j | ACCEPT Da fehlt die Chain (INPUT). Was moechtest Du mit --sport 1024:65535 erreichen? Folgendes laeuft hier: (diverse Plausibilitaetschecks vorher) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT [...] iptables -A INPUT -p tcp --dport 22 -i ppp0 -m state --state NEW -j ACCEPT Dazu ddclient, und die Sache ist geritzt. Gruesse, Marco - -- PGP-verschluesselte Mail bevorzugt - PGP-encypted mail preferred! PGP Key ID: 0xF426567D PGP Fingerprint: 61C2 500E 69F9 3B02 EC20 D600 85F7 316C F426 567D http://blackhole.pca.dfn.de:11371/pks/lookup?op=getsearch=0xF426567D -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQE+ivOUhfcxbPQmVn0RAuR7AJoDtp08vz7fK5BqYKx8o7vkgDSt4ACfZnjC Tl+VTKETWqAAmIvmeGlaRcg= =cpjZ -END PGP SIGNATURE- -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Dynamische IP (DynDns - Namen) mit Iptables freigeben
On 02.Apr 2003 - 16:28:36, Marco Thorbruegge wrote: -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 | iptables -I 1 -i $INTERFACE -p tcp --sport 1024:65535 --dport 22 -j | ACCEPT Da fehlt die Chain (INPUT). Was moechtest Du mit --sport 1024:65535 erreichen? Sorry die Chain habe ich wohl vergessen. Das sport 1024:65535 sorgt dafür das man nur von nicht priviligierten Ports auf den ssh kommt. Frag mich bitte nicht aus welchen Gründen das dort steht, ich habe das nur auf anraten eines Bekannten so geändert. Der hatte mir auch erzählt warum, aber das ist wohl zum einen Ohr rein und zum anderen wieder raus ;) Folgendes laeuft hier: (diverse Plausibilitaetschecks vorher) iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT Das ist klar, hab ich auch. [...] iptables -A INPUT -p tcp --dport 22 -i ppp0 -m state --state NEW -j ACCEPT Dazu ddclient, und die Sache ist geritzt. Bei mir läuft halt ipcheck beim einwählen, hatte mir damals besser gefallen - auch wenn das Passwort dann in nem Skript bei mir rumliegt. Andreas -- Nichts in der Liebe wirkt so überzeugend wie eine kühne Dummheit. pgp0.pgp Description: PGP signature
Re: Dynamische IP (DynDns - Namen) mit Iptables freigeben
Nebenbei solltest Du Dich zuallererst mal fragen, wozu Du überhaupt eine Firewall brauchst. Unsachgemäß aufgezogen ist sie im besten Falle nutzlos, ansonsten nicht selten hinderlich und auf sauber konfigurierten Rechnern fast immer überflüssig. ^^^ Mutige Behauptung ... - was ist sauber konfiguriert - wo fängt das an? D.h ja mindestens auch das ich immer alle Security-Updates eingespielt haben sollte - und der Admin damit nahezu perfekt arbeitet. Ich denke die Behauptung trifft wenn überhaupt nur auf den Privat-Anwender zu. Im Server-Bereich von Firmen ist das einfach falsch. Ein Webserver der einige tausend Anfragen die Minute hat, sollte schon hinter einer Firewall in einer DMZ stehen denke ich. Alles andere wäre unprofessional und würde über kurz oder lang schief gehen. Ich kann einfach nicht, ein wenn auch sauber konfiguriertes Firmennetzwerk, OHNE Firewall nach aussen offen lassen... Oder? mfg micha -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
RE: RE: Dynamische IP (DynDns - Namen) mit Iptables freigeben
Ja seruvs, Ich nochmal .. Is ja super was ich hier angestossen habe (c: Habe nochnie an sone MailListe geschrieben, (dachte mir, ach komm kost nix)ist ja aber viel zu geil was da gleich los ist !!! Der eine versteht mich falsch, der andere interpretiert dann noch irgendwas dazu und der dritte kommt sich richtig Profi vor. ... :-C .. Und machts nicht komplexer als es ist,bitte Ich habe gedacht hier hocken echt ein paar cracks an den maschinen .. Fuer die des so nebenbei zu erledigen ist .. -irtum Oder habe ich irgendwie an die falschr liste geschrieben? Also ich weiss das es ddclient gibt und das klappt ja auch unglaublich wie am schnuerchen! Somit habe ich(-die firewall) Schonmal nen dyn namen .. Cool. Auf der anderen seite hat aber auchjemand den ddclient laufen und ich moecht nur wirklich ihn in meine kiste reinlassen !! (Also die richtung des ssh kla? Und das problem??) Wie man eine port aufmacht oder filtert ist mir kla, nur habe ich bisher nur feste ips freigeben. Ich moecht quasi Eine 'feste' IP in form eines NAMENS zulassen !?!? Jetzt kappiert ...? Bei Dyndsl.com habe ich jetzt auchnicht den bringer gefund ... Aber super tip ! Also ich dacht eher an eine simple Regel, 'iptables -A INPUT -i $DEV_ppp -p tcp --dport 80 -m state --state NEW,ESTABLISHED -j ACCEPT # iptables -A INPUT -i $DEV_0 -p tcp --dport 8080 -j ACCEPT iptables -A INPUT -i $DEV_1 -p tcp --dport 8080 -j ACCEPT # iptables -A INPUT -i $DEV_ppp -s $IP_TRB_ARBEIT -p tcp --dport 22 -j ACCEPT ...' - So sieht das bisher aus und sollte nicht verstrickter werden .. die aber irgendwo her als variable die ip bekommt.. (so wie $IP_TR ...) Vielleicht hat naemlich schonmal jemand son script gebastellt .. Und gibt mir ein paa tips. Waere super lieb ! Gruss Chris P.S.: Marcus, bist mir nicht zu nahe getreten! Nur habe ich meine nachbarn noch an dem router haengen (dann lieber fw) Und ja, die haben leider microsoft produkte... Nur so finanziere ich mir meine flat ;-)wireless(c; achund auf dem ding Laeuft eigentlich garnix!!! Isn 486er .. Der haelt eh nix aus ... Peace out .. Bis bald -Ursprüngliche Nachricht- Von: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Gesendet: Mittwoch, 2. April 2003 15:04 An: [EMAIL PROTECTED] Betreff: Dynamische IP (DynDns - Namen) mit Iptables freigeben Hi, Ich habe eine Debian Kiste nun soweit, Dass mein Heim-Netz ziemlich sicher vom Boesen Internet Abgeschiermt ist. Als Firewall habe ich Kernel 2.4.18 mit Iptables Sehr gut im Griff, mittlerweile. - Freigeben nach innen wollte ich jetzt den Port 22 TCP (SSH) mittels Eines Dynamischen DNS Namens um Quasi nur eine IP (Die sich ja aber Bekanntermassen alle 24h mit DSL aendert) in mein Netz zu lassen. Wie muss ich dem Kernel jetzt sagen, dass er diesen durchlassen darf? - Hab schon allerhand im Inet rumgesucht doch nicht die goldene Loesung Gefunden... Ist mein Problem eigentlich verständlich !? Gruesse Chris -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl) -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Dynamische IP (DynDns - Namen) mit Iptables freigeben
Moin Michael Michael Schmidt wrote: Nebenbei solltest Du Dich zuallererst mal fragen, wozu Du überhaupt eine Firewall brauchst. Unsachgemäß aufgezogen ist sie im besten Falle nutzlos, ansonsten nicht selten hinderlich und auf sauber konfigurierten Rechnern fast immer überflüssig. ^^^ Mutige Behauptung ... - was ist sauber konfiguriert - wo fängt das an? D.h ja mindestens auch das ich immer alle Security-Updates eingespielt haben sollte - und der Admin damit nahezu perfekt arbeitet. Könntest du mal den Zusammenhang zwischen Firewall und Security Update erklären? -- Gruß Rüdiger -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: RE: Dynamische IP (DynDns - Namen) mit Iptables freigeben
Moin, On Wed, Apr 02, 2003 at 07:22:38PM +0200, Chris wrote: [...] iptables -A INPUT -i $DEV_ppp -s $IP_TRB_ARBEIT -p tcp --dport 22 -j ACCEPT ...' das sollte so aussehen: iptables -A INPUT -i $DEV_ppp -p tcp --dport 22 -j ACCEPT und dann sshd entscheiden lassen wer rein darf und wer nicht (geht glaube ich ueber sshd_config). Gruss -- hgb -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: RE: Dynamische IP (DynDns - Namen) mit Iptables freigeben
Hallo nochmal, hm, man iptables [..] -s, --source[!]address[/mask] Source specification. _Address_ can be either a hostname, a networt nme, or a plain IP address. Ich hab das auch noch nicht probiert. Könnte sein, dass er bei einem hostnamen nur in der hosts nachschaut, was ich sogar für sehr wahrscheinlich halte. Gruß, Frank. -- [...]although the authors did add some new | Frank Brodbeck excrement results. | [EMAIL PROTECTED] MS Outlooked corrected a experiment typo | GPG KEY: 24A017C0 into _excrement_ seen on Risks Digest| HAND pgp0.pgp Description: PGP signature
Re: Dynamische IP (DynDns - Namen) mit Iptables freigeben
Nebenbei solltest Du Dich zuallererst mal fragen, wozu Du überhaupt eine Firewall brauchst. Unsachgemäß aufgezogen ist sie im besten Falle nutzlos, ansonsten nicht selten hinderlich und auf sauber konfigurierten Rechnern fast immer überflüssig. ^^^ Mutige Behauptung ... - was ist sauber konfiguriert - wo fängt das an? D.h ja mindestens auch das ich immer alle Security-Updates eingespielt haben sollte - und der Admin damit nahezu perfekt arbeitet. Könntest du mal den Zusammenhang zwischen Firewall und Security Update erklären? Der Zusammenhang besteht nicht zwischen Firewall und Security-Update, sondern zwischen Security-Update und sauber konfiguriert, weil ich denke das das mindestens dazu gehört zum sauber konfigurierten System regelmässig Updates einzuspielen... Ausserdem wird eine firewall unter Umständen nutzlos ohne regelmässige updates... wenn z.B. sicherheitsloch in iptables oder so... -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Dynamische IP (DynDns - Namen) mit Iptables freigeben
On Wed, 2 Apr 2003 15:03:58 +0200, you wrote: Freigeben nach innen wollte ich jetzt den Port 22 TCP (SSH) mittels Eines Dynamischen DNS Namens um Quasi nur eine IP (Die sich ja aber Bekanntermassen alle 24h mit DSL aendert) in mein Netz zu lassen. Wie muss ich dem Kernel jetzt sagen, dass er diesen durchlassen darf? Das Problem ist wohl, daß sich die IP nach dem Trennen ändert und die Firewall das nicht mitbekommt Mein Vorschlag: Firewall beim Neueinwählen jedesmal neu zu initialisieren (Default-Policies: REJECT, Tabellen löschen, Tabellen neu aufbauen, Default-Policies anpassen). Firewall-Script nach /etc/ppp/ip-up.d/ Das bekommt dann auch netterweise (zumindest bei Woody) von ip-up in $PPP_IFACE das Interface (z.B. ppp0) und in $PPP_LOCAL die lokale Internet-IP-Adresse übergeben. Die kannst Du dann bei der entsprechenden Regel statt fester Werte einsetzen. Michael -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Dynamische IP (DynDns - Namen) mit Iptables freigeben
Frank Brodbeck [EMAIL PROTECTED] writes: [..] -s, --source[!]address[/mask] Source specification. _Address_ can be either a hostname, a networt nme, or a plain IP address. Ich hab das auch noch nicht probiert. Könnte sein, dass er bei einem hostnamen nur in der hosts nachschaut, was ich sogar für sehr wahrscheinlich halte. Nö, ich schätze iptables löst den Namen über gethostbyname() auf, jedenfalls steht in 'meiner' Manpage folgendes: -s, --source [!] address[/mask] Source specification. Address can be either a net work name, a hostname (please note that specifying any name to be resolved with a remote query such as DNS is a really bad idea) [...] Das ist deshalb eine schlechte Idee, weil es natürlich etwas aufwendig ist, für jedes Packet eine DNS-Anfrage zu starten. Man könnte natürlich per stateful inspection dafür sorgen, daß diese Auflösung nur für neue SSH-Verbindungen durchgeführt wird (--dport 22 --state NEW). Eine andere Möglichkeit wäre, die IP per Umgebungsvariable zu übergeben und wann immer sie sich ändert das Firewallskript neu auszuführen. M.E. ist der Sicherheitsgewinn aber sehr gering, wenn alles funktioniert. Und die Gefahr ist groß, durch die Bastelei Fehler einzubauen. Deshalb würde ich auch dazu raten, 22 für alle aufzumachen und die SSH entscheiden zu lassen, wer rein darf und wer nicht. Grüße, Daniel. -- . Daniel Hofmann [EMAIL PROTECTED] . -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
